По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Также, как и системы электронной почты, системы VoIP телефонии есть практически у каждой компании. Это могут быть простые облачные АТС, арендуемые у провайдера или собственные выделенные под IP-АТС серверные мощности, но среда, по которой передаётся сигнализация и пользовательский трафик данных систем один – Интернет. Это делает систему VoIP телефонии одной из самых востребованных злоумышленниками целей, ведь получив к ней доступ, открывается масса возможностей для извлечения прибыли или нанесения другого ущерба. Если Вы банально откроете логи своего межсетевого экрана и поищите запросы, поступающие извне, то наверняка увидите, что тысячи сканеров каждую секунду пробуют узнать какие сервисы работают на вашем внешнем адресе. И даже если этот адрес никак не связан с IP-телефонией, то вы всё равно там увидите запросы, связанные с VoIP. Это говорит о том, что злоумышленники очень хотят найти уязвимые системы телефонии и знают как проэксплуатировать выявленную брешь. В этой статье разберём какой профит получают хакеры, взломавшие VoIP систему, основные методы атак и протоколы, на которые они направлены. Чего хотят плохие парни? Как только Ваша систему IP-телефонии будет зарегистрирована в сети VoIP провайдера – вы сможете позвонить в любой уголок мира - на мобильный телефон в Тайване, на такософон в одной из красных будок Лондона и даже на декадно-шаговую АТС в музее Франкфурта-на-Майне! Что сделает злоумышленник, получивший такую возможность? – Воспользуется ею за Ваш счёт! В большинстве плачевно известных случаев, получая доступ к системе по средствам какой-либо уязвимости, злоумышленники делают следующее: совершают дорогостоящие звонки на дальние расстояния (long-distance calls); перепродают возможность звонка третьим лицам, не подозревающим, что услуга предоставляется на украденных мощностях звонят на номера с премиум обслуживанием, зарабатывая кэшбэк на свой счёт Существует провайдеры телефонных номеров с премиум обслуживанием (international premium rate number - IPRN). Это такие номера, звонки на которые, происходят очень часто и со всего мира. Например, номера для технической поддержки, прогноза погоды, сервисы для взрослых. Провайдеры таких номеров платят часть прибыли тому, кто гонит на них трафик - генератору звонков (call generator). В некоторых случаях провайдер осознанно участвует в мошеннической схеме, а иногда и вовсе не подозревает, что платит кэшбэк злоумышленникам за трафик, сгенерированный на "угнанных" мощностях. В конечном итоге и провайдеры и call generator'ы остаются в выигрыше, а платить приходится тому кого взломали. Всё вышеописанное подпадает под одно определение, которому в английской литературе дали название - toll fraud. На русский язык это можно перевести как неправомочные действия и несанкционированное пользование чужими ресурсами телефонной связи. Злоумышленникам также может быть интересно вывести вашу систему телефонии из строя, устроив атаку типа DoS (Denial of service) - отказ в обслуживании, хотя это случается реже toll fraud'а. Нам известны случаи, когда целый ботнет из серверов FreePBX начинал забрасывать IP-АТС заказчика "мусорными" вызовами, в результате чего на какое-то время, пользоваться системой стало просто невозможно. Техническая реализация Согласно исследованию IBM наиболее атакуемыми VoIP протоколами являются SIP, SCCP и H.255. Самым распространённым VoIP протоколом на сегодняшний день является SIP, поэтому и большинство атак осуществляется именно на этот протокол. Всё начинается с поиска сервера для проведения атаки. Протокол SIP использует стандартный порт 5060, поэтому первое, что сделает потенциальный злоумышленник – это отправит SIP-запрос на данный порт, чтобы посмотреть какой придет ответ. Как правило, для поиска SIP-сервиса используются стандартные запросы INVITE, REGISTER или OPTIONS. Хорошей практикой является перенос SIP-сервиса со стандартного порта на какой-нибудь другой. Таким образом мы можем увести сервис из-под удара. Ещё лучше – ограничить доступ к этому порту только для доверенного списка IP-адресов. Однако, иногда такой возможности просто нет. Для изначального установления соединения в SIP используется метод “тройного рукопожатия” , начинающийся с запроса INVITE, который подтверждается ответом 200 OK. Однако, если этот ответ от вызывающей стороны не получен, то соединение не устанавливается. Если наблюдается много таких незаконченных соединений за коротких промежуток времени, то это может быть признаком того, что против сервера идёт DoS-атака. Кстати, точно таким же образом, злоумышленник может провести атаку против легитимного устройства пользователя, чтобы сбросить его регистрацию на сервере и зарегистрироваться самому. Существует также метод “флуда” запросами REGISTER. Для этого злоумышленник должен знать параметры зарегистрированного устройства, регистрацию которого он хочет сбросить, подделать заголовок Contact в SIP пакете и отправить много (достаточно раз в 15 секунд) запросов REGISTER на сервер. Такой метод называется Registration-hijacking. Эти атаки возможны благодаря тому, что протокол SIP передает информацию в открытом виде, а значит атакующий может её собрать, модифицировать и воспроизвести. Помимо этого, в протоколе SIP не предусмотрено проверки целостности сообщений, поэтому атаки с модифицированной информацией и воспроизведенными пакетами не детектируются. Злоумышленникам совсем не обязательно перехватывать ваш трафик, чтобы вытащить запросы регистраций легитимных пользователей, потом модифицировать их и подсовывать обратно серверу. После обнаружения открытого SIP-порта, можно просто устроить перебор зарегистрированных внутренних номеров, например, от 10 до 9999. Ответ от сервера на запрос регистрации по такой схеме будет однозначно свидетельствовать о том, какие номера есть на IP-АТС, а каких там нет. Например, я могу отправить запрос на регистрацию с номера 2526 с неправильным паролем. Если на сервере зарегистрирован такой номер, то я получу ответ, что пароль неверен (Wrong Password), а если нет – то сообщение о том, что номер не найден (Not Found). Собрав список зарегистрированных номеров можно потом применить против них метод перебора паролей и получить доступ к внутреннему номеру легитимного пользователя. Другой неприятные метод атаки на VoIP позволяет прослушивать ваши телефонные разговоры. Для этого необходимо перехватить сигнальную информацию и соответствующие медиа потоки определенного соединения. Медиа потоки, которые как раз и содержат пакеты с голосом, обычно передаются по UDP с использованием протокола RTP. Захватив достаточное количество пакетов, можно декодировать RTP поток, а затем сделать из них простой аудио файл, который и будет содержать голос. Сделать это можно с помощью программы Wireshark. Мы рассказали про базовые методы проведения атак на VoIP системы. В следующих статьях, мы обязательно расскажем как защититься от каждого типа атаки, как выявить признаки атак и какие инструменты можно для этого использовать.
SSH (Secure Shell) обеспечивает безопасное удаленное соединение между двумя системами. С помощью этого криптографического протокола вы можете управлять машинами, копировать или перемещать файлы на удаленном сервере через зашифрованные каналы.
Существует два способа входа в удаленную систему через SSH - с использованием аутентификации по паролю или аутентификации с открытым ключом (вход SSH без пароля).
В этом руководстве вы узнаете, как настроить и включить вход по SSH без пароля.
Подготовка
Нам необходимо:
Доступ к командной строке или окну терминала
Пользователь с привилегиями sudo или root
Локальный сервер и удаленный сервер
Доступ по SSH к удаленному серверу через командную строку или окно терминала
Перед тем как начать проверьте существующие ключи SSH. Возможно, на вашем компьютере уже есть пара ключей SSH. Чтобы узнать, есть ли у вас в системе ключи SSH, выполните команду:
ls -al ~/.ssh/id_*.pub
Если в выводе указано, что таких файлов нет, переходите к следующему шагу, который показывает, как сгенерировать ключи SSH. Если они у вас есть, вы можете использовать существующие ключи, сделать их резервную копию и создать новую пару или перезаписать ее.
Шаг 1. Создайте пару ключей SSH
1. Первое, что вам нужно сделать, это сгенерировать пару ключей SSH на машине, на которой вы сейчас работаете.
В этом примере мы генерируем 4096-битную пару ключей. Мы также добавляем адрес электронной почты, но это необязательно. Команда такая:
ssh-keygen -t rsa -b 4096 -C "your_email@domain.com"
2. Затем введите место, где вы хотите сохранить ключи, или нажмите Enter, чтобы принять путь по умолчанию.
3. Также вам будет предложено установить кодовую фразу. Хотя это делает соединение еще более безопасным, оно может прерываться при настройке автоматизированных процессов. Поэтому вы можете ввести пароль или просто нажать Enter, чтобы пропустить этот шаг.
4. Затем в выводе сообщается, где хранятся идентификационный и открытый ключ, а также выдается отпечаток ключа.
5. Убедитесь, что вы успешно создали пару ключей SSH, выполнив команду:
ls -al ~/.ssh/id_*.pub
Вы должны увидеть путь идентификационного ключа и открытого ключа, как на скриншоте ниже:
Шаг 2. Загрузите открытый ключ на удаленный сервер
Вы можете загрузить публичный SSH-ключ на удаленный сервер с помощью команды ssh-copy-id или команды cat.
Вариант 1. Загрузить открытый ключ с помощью команды ssh-copy-id
Чтобы включить беспарольный доступ, вам необходимо загрузить копию открытого ключа на удаленный сервер.
1. Подключитесь к удаленному серверу и используйте команду ssh-copy-id:
ssh-copy-ide [remote_username]@[server_ip_address]
2. Открытый ключ автоматически копируется в файл .ssh/authorized_keys.
Вариант 2: загрузить открытый ключ с помощью команды cat
Другой способ скопировать открытый ключ на сервер - использовать команду cat.
1. Начните с подключения к серверу и создания на нем каталога .ssh.
ssh [remote_username]@[server_ip_address] mkdir -p .ssh
2. Затем введите пароль для удаленного пользователя.
3. Теперь вы можете загрузить открытый ключ с локальной машины на удаленный сервер. Команда также указывает, что ключ будет храниться под именем authorized_keys во вновь созданном каталоге .ssh:
cat .ssh/id_rsa.pub | ssh [remote_username]@[server_ip_address] 'cat >> .ssh/authorized_keys'
Шаг 3. Войдите на сервер без пароля
После создания пары ключей SSH и загрузки открытого ключа на удаленный сервер вы должны иметь возможность подключаться к выделенному серверу без ввода пароля.
Проверьте, работает ли установка, выполнив команду:
ssh [remote_username]@[server_ip_address]
Система должна напрямую входить в систему на удаленном сервере, пароль не требуется.
Примечание: убедившись, что вы можете подключаться к удаленному серверу SSH без пароля, рассмотрите возможность полного отключения аутентификации по паролю SSH. Это добавит еще один уровень безопасности и защитит ваш сервер от bruteforce атак.
Дополнительно: Устранение неполадок с разрешениями файлов удаленного сервера
Права доступа к файлам на удаленном сервере могут вызвать проблемы с входом в SSH без пароля. Это обычная проблема со старыми версиями SSH.
Если после выполнения всех шагов вам все еще предлагается ввести пароль, начните с редактирования прав доступа к файлам на удаленном сервере.
Установите разрешения 700 для каталога .ssh.
Установите разрешения 640 для каталога .ssh/authorized_keys.
Отредактируйте права доступа к файлу с помощью следующей команды:
ssh [remote_username]@[server_ip_address] "chmod 700 .ssh; chmod 640 .ssh/authorized_keys"
При появлении запроса введите свой пароль. Если действие было успешным, вывода не будет.
Итог
Если вы хотите автоматизировать обновления и другие задачи или беспрепятственно подключаться к удаленному серверу по SSH, вам следует включить вход по SSH без пароля.
Инструкции в этой статье должны помочь вам в этом.
Говоря техническим языком, Институт инженеров электротехники и электроники (Institute of Electrical and Electronics Engineers, IEEE) определяет Ethernet как стандарт группы 802.3. Воу - воу, слишком сложно. В этой статье мы объясним термин Ethernet простым языком, так как он стал действительно популярным даже среди непрофессионального сообщества.
Видео: Ethernet на пальцах
Обобщенно про Ethernet
Скажем прямо - Ethernet это стандарт, который относится только к построению локальных сетей LAN (Local Area Network). Локальная сеть мала, в отличие от старшего брата WAN (Wide Area Network), которую еще называют глобальной сетью. Локальная сеть у вас дома, в офисе, то есть на любой небольшой территории. Именно локальная сеть - один из основных идентификаторов наличия Ethernet.
В терминах семиуровневой модели OSI (если не знаете про нее, почитайте, это интересно!), стандарт Ethernet живет на первом и на втором уровнях. На первом уровне описаны способы передачи электрических, оптических и беспроводных (радио, например) сигналов, а на втором формирование кадров (фреймов). И тут мы делаем вывод:
Ethernet - это набор описаний способов физической передачи сигналов (электричество) на первом уровне модели OSI и формирования кадров (фреймов) на втором уровне модели OSI внутри локальных сетей LAN.
А сейчас важное уточнение: Ethernet относится только к проводным сетям. Многим миллениалам и представителям поколения Z кажется, что подключение по проводу - это своего рода “некромантия”. Однако это не так, и сейчас мы объясним почему.
Ethernet “по полочкам”
Скорость
Технология “Эзернет” разработана в 1970. Поэтому, сам по себе стандарт Ethernet имеет скорость 10 Мбит/с. Мало, согласитесь? Вот и мы так думаем. В 1995 году на свет появился стандарт Fast Ethernet, к которому мы все так привыкли и который работает в большинстве домашних “локалок”. Не трудно догадаться - его скорость 100 Мбит/с
В 1999 году, благодаря технологическому “рывку”, на свет появился Gigabit Ethernet, который уже поддерживает подключения скоростью 1000 Мбит/с или 1 Гбит/с. Отметим, что “гигабитными” линками зачастую в корпоративных сетях подключает даже сервера.
Линком в профессиональной среде называют канал подключения того или иного узла. Фраза “подключил к свичу сервер гигабитным линком” означает, что коллега подключил кабелем UTP сервер к коммутатору по стандарту Gigabit Ethernet.
И пожалуй финалочку по скорость: впервые в 2002 году IEEE опубликовал стандарт 802.3ae, в котором описал 10 Gigabit Ethernet, или как его еще называют 10GE, 10GbE и 10 GigE. Догадаетесь, на какой скорости он работает? 😉
Кабели
Еще раз подчеркнем - Ethernet описывает только проводные подключения. Сейчас наиболее популярен кабель UTP 5 категории (CAT 5). Вы спросите, почему UTP? Unshielded Twisted Pair, ответим мы, или переводя на русский язык неэкранированная витая пара. Кабель 5 категории отлично справляется со стандартами Ethernet и Fast Ethernet.
Для работы с более высокоскоростными стандартами, такими как Gigabit Ethernet и 10 Gigabit Ethernet понадобится кабель категории 5e или 6 категории
Ethernet vs. Wi-Fi: преимущества
Стабильность сигнала
На самом деле развертывание локальной сети на базе проводного подключения дороже и сложнее. Но конечно есть преимущества, а особенно для организаций. В первую очередь, вспомним: Wi-FI передается по радиочастотам. Если вы живете в Москве и слушаю радио на машине въезжали в Лефортовский туннель вы точно знаете, что происходит с радиосигналом по мере погружения в туннель. Тоже самое происходит и с Wi-Fi.
В проводном Ethernet помехи - не проблема. Если вы - организация и осуществляете чувствительные банковские транзакции, или у вас в офисе работает IP - телефония - конечно проводное подключение по Ethernet. Если вы домашний пользователей и “рубитесь в доту” или скачиваете массивные файлы, смотрите трансляции, майните биткоины - лучше Ethernet.
Безопасность
Это, безусловно, важно. А особенно для организаций. С помощью проводной сети на базовом уровне просто контролировать подключение к вашей сети. Например Wi-FI сеть может быть доступны вне вашего офиса - а там уже все зависит от компетенции злоумышленника.
Отметим, что как правило, Ethernet работает на удаленности 100 метров от от роутера. При большем расстоянии нужен некий репитер сигнала.
Ethernet vs. Wi-Fi: недостатки
Стоимость
С одной стороны, в домашней сети, достаточно просто подключить 1 кабель к порту вашего ПК и все работает. Здесь стоимость отличия от домашней Wi-Fi сети складывается только из стоимости кабеля. А что если вы организация? Кабелей нужно больше, к тому же, 1 кабель = 1 порт на коммутаторе. Соответственно, нужно закупать коммутаторы, фаерволы (безопасность, а как же?), маршрутизаторы. Именно поэтому, инвестиции в проводные Ethernet сети выше, чем в беспроводные.
Порты
Этот пункт пожалуй важен для дома. Пусть у вас обычный домашний маршрутизатор: в нем предположим 5 портов (1 аплинк от провайдера уже занят). При условии, что у вас телевизор, Xbox, ТВ - приставка, и два домашних компьютеры - ваши порты закончены. Если нужно подключить еще девайсы - нужно покупать дополнительное оборудование. Такой проблемы нет в Wi-Fi.
Мобильность
Самое важное, пожалуй. С Ethernet вы жестко завязаны на одном месте (особенно это характерно в офисе, где у вас скоммутирована Ethernet розетка). Дома, если у вас “красивый” ремонт, кабели спрятаны под плинтус. Поэтому, мобильностью и гибкостью здесь и не пахнет.
С Wi-Fi можно легко подключать ноутбуки, планшенты и мобильные телефоны. Представьте забавный кейс: по пути в туалетную комнату, вы берете с собой ноутбук с кабелем, вместо мобильного телефона, в котором привычно листаете любимую ленту. Пожалуй, это тот самый случай, когда лучше почитать надписи на освежителе воздуха.
Итоги
Ethernet - стандарт, описывающий подключение к локальным сетям через провод. При использовании его дома, есть профит только в большей скорость загрузки/отдачи. В офисе, кабели безусловно занимают лидирующие позиции - это связано в первую очередь с безопасностью, ведь утечки коммерческих тайн еще никому не шли на пользу. В домашних условиях Wi-Fi занимает уверенные лидерские позиции.